Whiffy Recon マルウェア

Whiffy Recon と呼ばれる新しいタイプの Wi-Fi スキャン マルウェアがサイバーセキュリティの専門家によって発見されました。この脅威は、すでに侵害されている Windows マシンに展開されています。攻撃作戦を担当したサイバー犯罪者は、Whiffy Recon の配信ベクトルとして、悪名高く脅威的なSmokeLoaderソフトウェアを使用しています。

この新種のマルウェアには特異な機能があります。 60 秒ごとに、感染したシステムの位置を特定するプロセスが実行されます。これは、収集されたデータを Google の地理位置情報 API にクエリするための参照ポイントとして使用し、近くの Wi-Fi アクセス ポイントのスキャンを実行することで実現されます。その後、Google の Geolocation API から取得した位置情報が、この操作の背後にいる悪意のある攻撃者に送信されます。

Whiffy Recon は高度に特殊化された脅威です

Whiffy Recon は、まず感染システム上の WLAN AutoConfig サービス (WLANSVC) の存在を確認することによって動作します。サービス名が見つからない場合、マルウェアは自動的に終了します。ただし、スキャナーはサービスが機能しているかどうかを確認しません。

永続性を実現するために、ショートカットが作成され、Windows スタートアップ フォルダーに追加されます。

さらに、このマルウェアは、リモートのコマンド アンド コントロール (C2) サーバーとの接続を確立するように構成されています。これは、ランダムに生成された「botID」を HTTP POST リクエストで送信することで実現されます。 C2 サーバーは、成功メッセージと一意のシークレット識別子で応答します。これらの識別子は、「%APPDATA%\Roaming\wlan\str-12.bin」という名前のファイルに保存されます。

攻撃の次の段階では、Windows WLAN API を使用して Wi-Fi アクセス ポイントのスキャンを 60 秒ごとに実行します。収集されたスキャン結果は Google Geolocation API に送信され、侵害されたシステムの正確な位置が三角測量されます。この情報は、JSON 文字列の形式で C2 サーバーに送信されます。

研究者は、犯罪者がこの種の活動や能力を使用している例をほとんど観察していません。 Whiffy Recon の脅威には、スタンドアロンの機能としてすぐに収益化できる可能性はありませんが、その意図をめぐる不確実性が不安を引き起こしています。懸念すべき現実は、これがさまざまな危険な目的をサポートするために利用される可能性があるということです。

SmokeLoader 脅威に目を向けると、その名前が示すように、このマルウェアは主にローダーとして機能します。その唯一の目的は、追加のペイロードをターゲットのホストにドロップすることです。 2014 年以来、このマルウェアはロシアに拠点を置く攻撃者によって購入可能になっています。通常、フィッシングメールを通じて伝播されます。

マルウェア感染への対策を確立することが最重要

マルウェア感染への対策を講じることは最も重要です。マルウェア、または脅威となるソフトウェアは、コンピュータ システム、ネットワーク、およびデータのセキュリティと機能に重大な脅威をもたらします。これらの脅威は、不正アクセスからデータ侵害、経済的損失、重要な業務の中断まで多岐にわたります。デジタル資産を保護し、システムの完全性を維持するには、マルウェアに対する効果的な対策を確立することが不可欠です。

• 定期的なソフトウェア アップデート: マルウェアはオペレーティング システムやソフトウェアの既知の脆弱性を悪用することがよくあります。セキュリティ パッチやアップデートを追加してすべてのソフトウェアを最新の状態に保つことは、マルウェアの潜在的な侵入ポイントを遮断するために非常に重要です。
• ユーザー教育: マルウェア攻撃の多くは、フィッシングメールや不正ダウンロードなどのソーシャル エンジニアリング戦術を通じてユーザーをターゲットにしています。疑わしいリンクをクリックすること、未知のソースからの添付ファイルを開くこと、および安全な閲覧習慣を利用することのリスクについてユーザーに教育することで、感染のリスクを大幅に軽減できます。
• アクセス制御と権限管理: ユーザー権限とアクセス権を制限すると、マルウェアの潜在的な影響を制限できます。最小限の特権の原則を実装すると、ユーザーは自分の役割に必要なリソースのみにアクセスできるようになり、マルウェアの攻撃対象領域が減少します。
• バックアップとリカバリ: ランサムウェア攻撃の影響を軽減するには、重要なデータとシステムを定期的にバックアップすることが不可欠です。感染した場合でも、クリーンなデータを復元できるため、データの損失や恐喝の試みを防ぐことができます。
• ネットワークのセグメンテーション: ネットワークをセグメント化し、重要なシステムを安全性の低いシステムから分離すると、マルウェアの拡散を阻止できます。 1 つのセグメントが侵害された場合、マルウェアが横方向に移動してネットワークの他の部分に感染することがより困難になります。
• 継続的監視: 継続的監視のためのセキュリティ ツールと実践方法を採用することは、マルウェア活動の早期検出と防止に役立ちます。異常や疑わしい動作を迅速に特定できるため、タイムリーな介入が可能になります。
• ベンダーとソフトウェアの評価: サードパーティのソフトウェアまたはサービスをネットワークに統合する前に、組織はセキュリティ対策と評判を評価する必要があります。これは、侵害されたソフトウェアを通じて不用意にマルウェアが侵入するのを防ぐのに役立ちます。
• コラボレーションと情報共有: 最新のマルウェアの傾向と攻撃手法について常に最新の情報を入手することが重要です。セキュリティ コミュニティと協力し、脅威インテリジェンスを共有することは、進化するマルウェアの脅威に対して積極的に防御するのに役立ちます。

結論として、デジタル資産、ユーザーのプライバシー、システム全体の機能を保護するには、マルウェア感染に対する対策を確立することが最も重要です。マルウェアによってもたらされるリスクを効果的に軽減するには、テクノロジー、ユーザー教育、プロアクティブな戦略を組み合わせた多層的なアプローチが不可欠です。